Spring Security6 从源码慢速开始

原创 已于 2025-04-15 22:59:40 修改 · 1.3k 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring cloud

于 2025-04-10 20:35:18 首次发布

一、是什么

  • Spring Security 能解决什么问题?

用户身份认证(Authentication)和用户授权 (Authorization 也叫访问控制)。

认证:解决我是谁?

授权:解决我能在系统中干什么?

  • 基本原理

Spring Security 本质是一个过滤器链。但是 Spring Security 采用了有别于传统 Servlet 过滤器链的另一套实现。

左边是传统的 Servlet 过滤器链 FilterChain,右边是 Spring Security 实现的过滤器链 SecurityFilterChain。

  • FilterChain

客户端向应用程序发送请求,Servlet 容器创建一个 FilterChain,其中包含 Filters and Servlet,Filters and Servlet 根据请求 URI 的路径处理 HttpServletRequest,在 Spring MVC 应用程序中,Servlet 是 DispatcherServlet 的实例。最多一个 Servlet 可以处理单个 HttpServletRequest 和 HttpServletResponse。

  • FilterChainProxy

在 Servlet 容器中,仅根据 URL 调用 Filter。但是,FilterChainProxy 可以通过利用RequestMatcher 接口,根据 HttpServletRequest 中的任何内容(请求头、请求路径、请求参数)来确定调用。FilterChainProxy 可用于确定应该使用哪个 SecurityFilterChain。

二、快速开始

2.1、hello world

官网 下载一个 hello-security demo, 或者 新建一个 Spring Boot 项目,引入依赖也可以。

2.1.1、引入依赖

<parent>
	<groupId>org.springframework.boot</groupId>
	<artifactId>spring-boot-starter-parent</artifactId>
	<version>3.4.3</version>
	<relativePath/>
</parent>
<dependencies>
    <dependency>
	    <groupId>org.springframework.boot</groupId>
	    <artifactId>spring-boot-starter-security</artifactId>
    </dependency>
    <dependency>
	    <groupId>org.springframework.boot</groupId>
	    <artifactId>spring-boot-starter-web</artifactId>
    </dependency>
</dependencies>

依赖的版本由 Spring Boot 去指定。

我当前用到的版本如下:

JDK 17

<spring-security.version>6.4.3</spring-security.version>

<spring-boot-starter-web.version>3.4.3</spring-boot-starter-web.version>

2.1.2、新建 Controller(表示我们要访问的资源)

@RestController
@RequestMapping("/res")
public class ResourceController {

    @RequestMapping("/echo")
    public String echo() {
        return "Hello Security!";    
    }
}

2.1.3、日志配置

新版 Spring Security 默认是不打印  Security Filters 过滤器,可以通过如下方式打印:

修改项目日志配置文件 logback.xml 或 logback-spring.xml

<configuration>
    <appender name="STDOUT" class="ch.qos.logback.core.ConsoleAppender">
        <encoder>
            <pattern>%d{yyyy-MM-dd HH:mm:ss} - %msg%n</pattern>
        </encoder>
    </appender>
 
    <logger name="org.springframework.security" level="DEBUG"/>
 
    <root level="info">
        <appender-ref ref="STDOUT"/>
    </root>
</configuration>

 将 org.springframework.security 包的日志级别设置为 DEBUG 或 TRACE

就可以在控制台看到

2025-04-09 17:15:57 - Will secure any request with filters: 
DisableEncodeUrlFilter, 
WebAsyncManagerIntegrationFilter, 
SecurityContextHolderFilter, 
HeaderWriterFilter, 
CsrfFilter, 
LogoutFilter, 
UsernamePasswordAuthenticationFilter, 
DefaultResourcesFilter, 
DefaultLoginPageGeneratingFilter, 
DefaultLogoutPageGeneratingFilter, 
BasicAuthenticationFilter, 
RequestCacheAwareFilter, 
SecurityContextHolderAwareRequestFilter, 
AnonymousAuthenticationFilter, 
ExceptionTranslationFilter, 
AuthorizationFilter

 这是 Spring Security 默认的过滤器链。

 2.1.4、访问测试

启动服务,浏览器访问测试 http://localhost:8080/res/echo

 引入 Spring Security 以后,所有对于 Spring Web 接口的访问,都需要用户名密码。

用户名 user,密码在控制台,是一个 UUID。

 输入用户名、密码登录之后,跳转回请求接口。

三、流程讲解

3.1、流程讲解

表单提交登录的认证过程如下图:

3.1.1、判断是否有权限访问资源

  1. 首先,用户向未获得授权的资源 /private(在我们例子中是 /res/echo)发出未经身份验证的请求。
  2. ​Spring Security 的 AuthorizationFilter(旧版本是 FilterSecurityInterceptor,Spring 官网图没有更新)通过抛出 AccessDeniedException 来指示未经身份验证的请求被拒绝。
  3. 由于用户未经过身份验证,因此 ExceptionTranslationFilter 启动 Start Authentication,并使用配置的 AuthenticationEntryPoint 将重定向发送到登录页面。在大多数情况下,AuthenticationEntryPoint 是 LoginUrlAuthenticationEntryPoint 的实例。
  4. 然后,浏览器将请求它重定向到的登录页面。
  5. DefaultLoginPageGeneratingFilter#generateLoginPageHtml 生成登录页内容返回给浏览器。

3.1.2、用户提交用户名密码后认证

  1. 当用户提交他们的用户名和密码时,UsernamePasswordAuthenticationFilter#attemptAuthentication 方法通过从 HttpServletRequest 实例中提取用户名和密码来创建 UsernamePasswordAuthenticationToken(这是一种 Authentication 类型。Authentication 接口表示认证信息。可以是用户名密码、匿名访问,也可以是短信验证、二维码、指纹。具体取决于你自己的认证方式,由自己扩展)。
  2. 接下来,UsernamePasswordAuthenticationToken 被传递到 AuthenticationManager 实例ProviderManager#authenticate 中进行身份验证。AuthenticationManager 的处理细节取决于用户信息的存储方式(即 Authentication 的类型。比如,UsernamePasswordAuthenticationToken 由 ProviderManager 委托给DaoAuthenticationProvider 处理,AnonymousAuthenticationToken 委托给 AnonymousAuthenticationProvider 处理,用户也可以自己定义一个 QRCodeAuthenticationToken 表示二维码认证信息,再自己定义一个 QRCodeAuthenticationProvider 来处理)。
  3. 如果身份验证失败,则失败。
  1.  SecurityContextHolder 被清除。
  2. 调用 RememberMeServices.loginFail。如果未配置 Remember me,则没有任何操作。
  3. AuthenticationFailureHandler 被调用。

     4.如果身份验证成功,则成功。

  1. SessionAuthenticationStrategy 收到新登录的通知。
  2. Authentication 在 SecurityContextHolder上设置。AbstractAuthenticationProcessingFilter#successfulAuthentication 中设置。
  3. 调用 RememberMeServices.loginSuccess。如果未配置 Remember me,则没有任何操作。
  4. ApplicationEventPublisher 发布 InteractiveAuthenticationSuccessEvent。
  5. 调用 AuthenticationSuccessHandler。通常,这是一个 SimpleUrlAuthenticationSuccessHandler,当我们重定向到登录页面时,它会重定向到 ExceptionTranslationFilter 保存的请求。

3.1.3、身份验证成功后

身份验证成功后,Spring Security 帮我做了一些重要的事情。

UsernamePasswordAuthenticationFilter 继承自 AbstractAuthenticationProcessingFilter。

AbstractAuthenticationProcessingFilter 在 doFilter 方法中调用 UsernamePasswordAuthenticationFilter#attemptAuthentication 方法进行身份认证,认证成功后 AbstractAuthenticationProcessingFilter 会调用自身的 successfulAutentication 方法对返回的 Authentication 进行处理。此时的 Authentication 已包含经过认证的用户信息且 isAuthenticated=true。

我们来重点看一下 AbstractAuthenticationProcessingFilter#successfulAutentication 会做哪些事情。

protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain,
			Authentication authResult) throws IOException, ServletException {
    // 1、创建一个空的 SecurityContext 上下文
    SecurityContext context = this.securityContextHolderStrategy.createEmptyContext();
    // 2、将当前认证过的用户信息保存到 SecurityContext 上下文
	context.setAuthentication(authResult);
    // 3、将 SecurityContext 上下文存放到 ThreadLocal 中
	this.securityContextHolderStrategy.setContext(context);
    // 4、将 SecurityContext 上下文也存放在 HttpRequest、HttpSession 中。
	this.securityContextRepository.saveContext(context, request, response);
	if (this.logger.isDebugEnabled()) {
		this.logger.debug(LogMessage.format("Set SecurityContextHolder to %s", authResult));
	}
    // 5、调用 RememberMeServices.loginSuccess
	this.rememberMeServices.loginSuccess(request, response, authResult);
	if (this.eventPublisher != null) {
    // 6、ApplicationEventPublisher 发布 InteractiveAuthenticationSuccessEvent
		this.eventPublisher.publishEvent(new InteractiveAuthenticationSuccessEvent(authResult, this.getClass()));
	}
    // 7、调用 AuthenticationSuccessHandler
	this.successHandler.onAuthenticationSuccess(request, response, authResult);
}

 1、创建一个空的 SecurityContext 上下文。

 2、将当前认证过的用户信息保存到 SecurityContext 上下文。

请求经过 UsernamePasswordAuthenticationFilter 认证、并将认证结果保存到 SecurityContext 上下文之后。

请求会继续经过 ExceptionTranslationFilter 到达 AuthorizationFilter。AuthorizationFilter 会对 SecurityContext 上下文中的 Authentication 进行判断,如果 isAuthenticated=true。过滤器继续往下;否则抛出 AccessDeniedException("Access Denied")。抛出的 AccessDeniedException 异常会被 ExceptionTranslationFilter 捕获到,进行重定向。

//-------------- AuthorizationFilter 过滤器
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain chain) throws ServletException, IOException {
        HttpServletRequest request = (HttpServletRequest)servletRequest;
        HttpServletResponse response = (HttpServletResponse)servletResponse;
        if (this.observeOncePerRequest && this.isApplied(request)) {
            chain.doFilter(request, response);
        } else if (this.skipDispatch(request)) {
            chain.doFilter(request, response);
        } else {
            String alreadyFilteredAttributeName = this.getAlreadyFilteredAttributeName();
            request.setAttribute(alreadyFilteredAttributeName, Boolean.TRUE);

            try {
                AuthorizationDecision decision = this.authorizationManager.check(this::getAuthentication, request);
                this.eventPublisher.publishAuthorizationEvent(this::getAuthentication, request, decision);
                // 判断是否通过认证
                if (decision != null && !decision.isGranted()) {
                    // 没有抛出异常
                    throw new AccessDeniedException("Access Denied");
                }

                chain.doFilter(request, response);
            } finally {
                request.removeAttribute(alreadyFilteredAttributeName);
            }

        }
    }

private Authentication getAuthentication() {
        // 从上下文中拿到认证信息
        Authentication authentication = this.securityContextHolderStrategy.getContext().getAuthentication();
        if (authentication == null) {
            throw new AuthenticationCredentialsNotFoundException("An Authentication object was not found in the SecurityContext");
        } else {
            return authentication;
        }
    }
//--------------- ExceptionTranslationFilter 过滤器
private void doFilter(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws IOException, ServletException {
        try {
            chain.doFilter(request, response);
        } catch (IOException var7) {
            // 捕获 AuthorizationFilter 抛出的异常
            IOException ex = var7;
            throw ex;
        } catch (Exception var8) {
            Exception ex = var8;
            Throwable[] causeChain = this.throwableAnalyzer.determineCauseChain(ex);
            RuntimeException securityException = (AuthenticationException)this.throwableAnalyzer.getFirstThrowableOfType(AuthenticationException.class, causeChain);
            if (securityException == null) {
                securityException = (AccessDeniedException)this.throwableAnalyzer.getFirstThrowableOfType(AccessDeniedException.class, causeChain);
            }

            if (securityException == null) {
                this.rethrow(ex);
            }

            if (response.isCommitted()) {
                throw new ServletException("Unable to handle the Spring Security Exception because the response is already committed.", ex);
            }

            this.handleSpringSecurityException(request, response, chain, (RuntimeException)securityException);
        }

    }

 3、将 SecurityContext 上下文存放到 ThreadLocal 中。

SecurityContextHolder 在初始化的时候,如果我们没有配置 spring.security.strategy 属性,Spring Security 默认会帮我们初始化一个 ThreadLocalSecurityContextHolderStrategy。

ThreadLocalSecurityContextHolderStrategy 持有一个 ThreadLocal,用来存放当前请求线程的 SecurityContext 上下文。

final class ThreadLocalSecurityContextHolderStrategy implements SecurityContextHolderStrategy {
    private static final ThreadLocal<Supplier<SecurityContext>> contextHolder = new ThreadLocal<>();
}

4、将 SecurityContext 上下文也存放在 HttpRequest、HttpSession 中。

存放到 HttpSession attribute key 为 "SPRING_SECURITY_CONTEXT"。

存放到 HttpRequest attribute key 为 "org.springframework.security.web.context.RequestAttributeSecurityContextRepository.SPRING_SECURITY_CONTEXT"。

  • 基于 Session 的有状态应用

Spring Security 是可以实现有状态的应用的。这个是基于 Session 来实现的。

当用户提交用户名密码认证成功后,Spring Security 会将用户认证信息 Authentication 保存到 SecurityContext 中,并将 SecurityContext 设置到 Session 的 Attribute 中,下一次请求进来,从 Session 中拿到 Authentication 进行校验,因为 isAuthenticated=true,所以免认证就可以访问。

1、当我们请求 Security 默认登录页

最低0.47元/天 解锁文章
Spring Security 6.x 系列【1】基础篇之概述及入门案例
记录知识、锤炼自我
03-23 1万+
Spring组织提供的一个开源安全框架,目前最新的版本为6.0.2,基于Spring开发,所以非常适合在中使用。提供认证、授权、抵御常见攻击等功能,将认证与授权分离,并提供了扩展点。对保护命令式(Spring MVC)和响应式()应用程序有一流的支持,是保护基于Spring开发的应用程序的事实标准。认证为身份验证提供了全面的支持,身份验证是验证进行访问的主体身份。常用方法是要求用户输入用户名和密码。一旦执行身份验证,就知道身份并可以执行授权。授权授权指的是验证某个用户是否有权限执行某个操作。
Spring Security 6.x 系列【10】认证篇之密码编码器
记录知识、锤炼自我
04-04 1237
起初,密码是以**明文**形式存储的。恶意用户能够通过`SQL`注入等攻击手段,获取数据库中的大量用户名和密码,因为未加密,可以直接登录,存在很大的安全问题。 **2011年12月**,`优快云`、**多玩**、**世纪佳缘**、**走秀**等多家网站的用户数据库被曝光在网络上,由于部分密码以**明文**方式显示,导致大量网民受到隐私泄露的威胁。
Spring-Security 6.x版本入门讲解
Always_WHD的博客
08-17 1761
简单介绍了SpringSecurity的原理和执行流程,并给出简单的配置样例。
SpringSecurity6从入门到上天系列第九篇:SpringSecurity当中的默认用户的生成、存储、认证过程的源码级别分析
七叔的博客
12-20 2803
我们已经讲过在SpringSecurity这个依赖一旦被SpringBoot引入之后呢,这个jar包中的核心来会被加载,此时这个web服务当中所有的接口都必须要进行认证才能够被请求!我们进行认证时候需要去填写一个默认的user用户名和密码才能够认证通过,那么这个默认的user和控制台密码是如何生成,并保存在了哪里呢?将这个事呀,我们又得从SpringBoot的自动装配是说起。
Spring Security :(一) SpringSecurity的Basic模式和formLogin模式
qq_31741189的博客
07-14 1820
Security有两种登陆模式: 1、Basic登陆模式 2、formLogin()登陆模式 创建一个Springboot项目 添加Pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLoca
SpringSecurity6.x使用教程
wsb_2526的博客
07-06 2237
SpringSecurity目前支持的版本如下图所示,可以看到5.x的版本过几年就不会再维护了,6.x将成为主流。
springsecurity6】认证源码分析
hfssss的博客
01-22 1090
springsecurity6中http://localhost:8080/test/toLogin?username=lkz&pwd=123456源码跟踪。
Reactive Spring应用开发实战示例
此外,还可能集成指标监控(如Micrometer)、安全控制(Spring Security响应式支持)、测试工具(StepVerifier用于验证响应式流行为)等高级特性。 综上所述,“reactive-spring”不仅是一个技术演示项目,更是现代...
Java Properties类:深入理解,从源码到性能优化与缓存策略
[Java Properties类:深入理解,从源码到性能优化与缓存策略](https://img.springlearn.cn/blog/jvua9.png) # 1. Java Properties类概述 ## 1.1 Properties类简介 Java中的Properties类是`Hashtable`的子类,设计...
这个疯子整理的十万字Java面试题汇总,终于拿下40W offer!(JDK源码+微服务合集+并发编程+性能优化合集+
m0_67401134的博客
07-23 3441
Spring框架是一个为Java应用程序的开发提供了综合、广泛的基础性支持的Java平台。Spring帮助开发者解决了开发中基础性的问题,使得开发人员可以专注于应用程序的开发。Spring框架本身亦是按照设计模式精心打造,这使得我们可以在开发环境中安心的集成Spring框架,不必担心Spring是如何在后台进行工作的。Spring框架至今已集成了20多个模块。这些模块主要被分如下图所示的核心容器、数据访问/集成,、Web、AOP(面向切面编程)、工具、消息和测试模块。...
SpringSecurity6的配置使用
qq_63728578的博客
05-28 2943
认证 1. 首先引入SpringSecurity的依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> <version>3.2.5</version> </dependency> 引入依赖后所有的请求都会被Se
Spring Security 6 集成常见操作指南
最新发布
csdn_tom_168的博客
06-14 752
Spring Security 6 集成指南摘要 本文介绍Spring Security 6的核心配置与常见功能实现: 基础配置:通过Maven添加安全依赖,配置SecurityFilterChain实现URL权限控制 认证授权:自定义UserDetailsService加载用户,使用@PreAuthorize进行方法级权限控制 高级功能: JWT集成:包含令牌生成与验证过滤器实现 OAuth2:配置Google等第三方登录 会话管理:实现Remember-Me功能,配置动态权限加载 安全防护:建议生产环境
Spring Security 详解
热门推荐
qq_22075913的博客
06-06 12万+
Spring SecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用SpringSecurity来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。​ 一般Web应用的需要进行认证和授权。​ 而认证和授权也是SpringSecurity作为安全框架的核心功能。视频地址:​ 我们先要搭建一个简单的SpringBoot工程① 设置父工
关于SpringBoot整合Security认证授权的使用和介绍;
gzx233的博客
07-27 1223
整合Security的旧版和新版的区别和使用,密码加密器,自定义账号密码,多用户,修改登录页,获取当前用户信息等..
spring security6.0版本入门解析
Mr.xu的博客
03-06 5552
spring security6.0.0的入门详解,不看可惜了......
SpringSecurity6登录及其权限验证(一)自定义登录认证
m0_74220375的博客
04-15 2005
​​Spring Security 6 模块化登录认证实现​​ 基于SpringBoot 3.4.3+SpringSecurity 6.4.3,采用模块化设计实现邮箱/手机号+密码认证。核心实现: ​​主配置​​:禁用CSRF/会话,集成模块 ​​认证流程​​: 自定义过滤器处理/login请求,验证格式并构建认证令牌 认证提供者校验用户密码,返回完整认证令牌 通过处理器返回标准化响应 ​​优势​​: 独立CORS配置 解耦认证逻辑,便于扩展多方式登录 方案通过分层设计提升维护性,适用于无状态API
SpringSecurity基本用法
学习学习学习学习
10-12 329
SpringSecurity 1. 部署项目 1.1 导包 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> <version>2.4.5</version> </dependency>
Spring Security 基本介绍及基础项目搭建
一个菜鸡的博客
05-16 2万+
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring Security 重要核心功能。
构建安全稳定的应用:Spring Security 实用指南
DC1020的博客
07-03 2124
在现代 Web 应用程序中,安全性是至关重要的一个方面。Spring Security 作为一个功能强大且广泛使用的安全框架,为 Java 应用程序提供了全面的安全解决方案。本文将深入介绍 Spring Security 的基本概念、核心功能以及如何在应用程序中使用它来实现认证和授权。
Spring Security实战系列源码解析与运行指南
标题所揭示的知识点聚焦于“Spring Security实战源码”,这表明内容涉及的是以Spring Security为核心的安全框架的实际应用与源码分析。Spring Security是广泛应用于Java EE应用程序的安全框架,特别强调保护Web应用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值